Microsoft и Eclypsium скрестили шпаги по поводу уязвимостей в Dell SupportAssist

Страсти вокруг недавно раскрытых уязвимостей в Dell SupportAssist по-прежнему не утихают, хотя уязвимости уже исправлены. Дело в том, что ИБ-компания Eclypsium резко отреагировала на уведомление Microsoft по этому поводу.

Речь идет о четырех уязвимостях в утилите для удаленного обновления прошивки Dell SupportAssist, позволяющих запускать произвольный код на некоторых ПК.

Уведомление безопасности было выпущено на прошлой неделе, а с марта 2021 года (задолго до выхода уведомления) Dell работала вместе с Eclypsium над исправлением проблем. Как сообщила Dell, с 24 июня все уязвимости были исправлены. Компания также опубликовала временное решение для тех, кто не может сразу установить обновления BIOS, предполагающее отключение загрузки HTTPS и функции BIOSConnect.

По мнению Eclypsium, проблема заключается в том, что атаки работают даже на ПК с защищенным ядром и могут затрагивать пользовательские данные. Согласно Eclypsium, Microsoft отрицала возможность обхода защиты прошивки System Guard с помощью опубликованного метода.

«Описанная в опубликованном исследовании атака позволяет обойти защиту, обеспечиваемую безопасной загрузкой. Однако ПК с защищенным ядром идут еще дальше и реализуют защиту прошивки System Guard, которая помогает защитить важные активы от атак с эксплуатацией уязвимостей в прошивке для обхода таких функций, как безопасная загрузка.

Модель угроз для защищенного ядра предполагает наличие скомпрометированной прошивки, как в представленном здесь случае, и поэтому описанная атака по-прежнему будет подвергаться проверке безопасности с помощью функций защиты прошивки в защищенном ядре. Отказ проверки System Guard приведет к тому, что система не сможет пройти аттестацию, а решения Zero Trust, такие как условный доступ Microsoft, заблокируют устройству доступ к защищенному облаку.

Предоставленная исследователями документация не демонстрирует, как с помощью обнаруженных уязвимостей можно обойти System Guard», – сообщила Microsoft.

Однако обнаружившие уязвимости исследователи Eclypsium не согласны с таким заявлением Microsoft. По словам специалиста Eclypsium Джона Лукайдеса (John Loucaides), атака работает на ПК Dell, включая ПК с защищенным ядром, и затрагивает пользовательские данные.

«Ответ Microsoft – это пустая болтовня, призванная отвлечь внимание от того, что мы на самом деле сказали», – заявил Лукайдес.

Как пояснил специалист, удаленная аттестация для доступа к облачным ресурсам не имеет никакого значения и никак не предотвращает эксплуатацию уязвимостей в прошивке UEFI для выполнения произвольного кода в предзагрузочной среде и последующий доступ к пользовательским данным.

Действительно, похоже, Microsoft ходит вокруг да около проблемы, больше беспокоясь об облаке. Компания никак не прокомментировала заявление Лукайдеса.